Un producteur a été débouté de sa demande d’identification de 895 adresses IP. Il a trouvé sur son chemin Orange qui lui a opposé victorieusement la législation sur la protection des données personnelles, dont le RGPD. Explications.
Une ordonnance rendue le 2 août dernier jette un pavé dans la mare des sociétés luttant contre le « piratage » sur Internet. Le producteur québécois Mile High Distribution Inc avait mandaté l’allemande Media Protector à charge pour elle de relever les IP partageant ses œuvres en ligne, outre leur titre, le nom du FAI et l’horodatage.
Près de 900 IP furent ainsi collectées entre novembre 2017 et décembre 2018, toutes prises le doigt dans le pot de confiture du téléchargement illicite de films pour adulte, une des spécialités de l’entreprise canadienne.
Le 8 avril 2019, le juge des requêtes ordonne à Orange « de conserver les informations utiles à l’identification des personnes » cachées derrière ces adresses. Le 11 mars, le producteur fait citer directement le FAI dans une audience de référé, procédure contradictoire cette fois, pour obtenir communication des données d’identification.
La suite attendue se devinait facilement : avec ce stock en main, l’ayant droit allait pouvoir initier des procédures beaucoup plus rugueuses à l’encontre des abonnés sauf que la législation sur les données personnelles a joué les trouble-fêtes.
Des IP, une collecte, une législation
Dans une ordonnance rendue le 2 août 2019 relevée par Legalis.net, le juge des référés du TGI de Paris a été très attentif aux arguments du fournisseur d’accès.
Suivant les arguments d’Orange, il a rappelé qu’une mesure d’identification d’IP n’est légalement admise « que si la collecte des adresses IP des contrefacteurs présumés a été elle-même effectuée légalement ». Or Orange va utilement rappeler l’existence de cette législation, refusant de jeter en pâture les données de ses clients aussi facilement.
La décision rappelle d’abord que les IP sont bien des données personnelles et leur collecte, un traitement soumis à la loi CNIL, tout comme au règlement général sur la protection des données applicable depuis le 25 mai. « Ainsi, pour être licites, la collecte et le traitement des adresses IP précitées doivent avoir été opérés dans le respect des règles applicables au droit à la protection des données à caractère personnel, en application des textes précités. »
Il estime ensuite que le producteur est bien responsable de traitements. C’est lui qui a déterminé les finalités de la collecte, à la collecte des IP pour assurer la défense de son catalogue de films.
De multiples défaillances
Le couvercle du RGPD soulevé, la décision revient sur ses articles 27, 30 et 37 du RGPD. Un tel responsable de traitements doit désigner un représentant en Europe puisqu’il s’agit d’une collecte à grande échelle de données d’infraction.
De même, pour cette raison, « il lui appartient de tenir à jour un registre des traitements au sein duquel une fiche du registre doit être consacrée au traitement de données objet du présent litige ». L’article 10 l’oblige en outre à désigner un délégué à la protection des données.
Ce n’est pas tout. Le responsable de traitements doit assurer un haut niveau de sécurité sur ces données « à l’aide de mesures techniques ou organisationnelles appropriées ». Tout autant, « il doit encore prévoir un encadrement juridique particulier en cas de transfert de données à caractère personnel en dehors de l’Union européenne, comme c’est le cas en l’espèce (transfert de données de la France vers le Canada) ».
Sur chacun de ces points, la société a été dans l’incapacité de démontrer sa conformité au texte. S’agissant de la sécurité, elle s’est contentée de produire un « certificat de coutume » (une attestation) d’un conseil allemand au terme duquel elle respecterait la législation en vigueur. Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2017.
L'entreprise déboutée
Autant de pièces jugées bien insuffisantes sur l’autel de la loi et du règlement. Conclusion : « la société Mile High Distribution échoue à démontrer le caractère licite du traitement de données à caractère personnel d’adresses IP ».
Faute de traitement licite, les mesures d’instruction sollicitées n’ont pu être ordonnées. Au final, Mile High Distribution INC a été condamnée à payer 8 000 euros à Orange pour couvrir ses frais.
Commentaires (32)
La news qui tombe à pic, je prépare le pop corn !
" />
“Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2018.”
" />
Tiens Monsieur le Juge ! Je me suis fait un document à moi-même pour prouver que je me suis fait un document à moi-même! Si c’est pas la preuve que moi-même a reconnu que moi-même était conforme à la règlementation !
Il n’y a plus qu’à lancer une procédure à l’encontre de cet ayant droit pour non-respect du RGPD. 😂😂
je ne sais pas si l’expression “les doigts dans le pot de confiture” est du meilleur goût, vu les “oeuvres” diffusées par cet ayant droit ! 
" />
" />
" />
Crise de rire derrière mon écran.
" /> 
" />
Et bravo à Orange pour se soucier des données personnelles
[Mode troll on]Et avec free ca aurais donné quoi cette demande ?” [Mode troll off]
" />
Désolé !
Confiture ou nutela, tans qu’il y à du plaisir, le reste n’est pas important.
" />
C’est bon ça oO !
Comme quoi, des fois, la RGPD peut justifier la flemmingite de devoir répondre à des sollicitations extérieures (et permettre de faire des économies… certainement le réel intérêt d’Orange)
Une bonne nouvelle avant le weekend.
Une news comme on les aime.
Faudrait pas penser que tout est bloqué. Il suffit qu’ils se remettent dans les clous du RGPD et ils récupéreront ces adresses et les suivantes.
Non, Il y un intérêt légitime pour traiter ces données personnelles donc pas besoin de consentement, par contre, il faut respecter les autres règles du RGPD exposées dans l’article (DPO,…)
c’est bon* tout ça !
" />
" />
(retour de bâton)
* pour nous
En effet, et à la prochaine récolte, les mêmes adresses IP seront présentées, mais dans les règles.
Heureusement qu’il ne s’agit pas d’affaires de terrorisme etc…Mais les règles sont différentes.
Je voyais plus Free dans cet état d’esprit que Orange
" />
Orange en pourfendeur des injustices ? Ou il y avait une IP dans le tas qui aurait fait scandal ?
Je vous laisse deux heures…
Orange ne fait que protéger sa responsabilité vis-à-vis du RGPD. Pour sûr que lorsqu’une demande conforme à la loi et sans ombrage vis-à-vis des intérêts de l’opérateur sera adressée à Orange, celle-ci sera honorée sans sourciller à propos de la vie privée de chacun.
Free aurais envoyé une réponse papier avec des fôtes d’orthographe (comme avec la hadopi à une époque) le tout en comic sans lol
Sinon c’est la classe, merci orange d’ouvrir le RGPD pour sanctionner ces boites qui ignorent le droit (sauf quand il est à leur avantage !) Faut envoyer une jambe de bois à Orange pour son entrée chez les pirates ^^
Et là, ils l’ont dedans.
Je ne sais pas vous, mais j’aime augmenter ma culture. J’ai donc taper Mile High Distribution dans google.
Et le fait de savoir que ce sont des œuvres québécoises me donne envie de plus de cul.ture
Pour la science.
Le secteur du porno est l’un des plus touchés par le piratage de masse.
Surtout quand on voit à côté toute la sphère MindGeek qui est productrice, mais aussi un fort vecteur de piratage avec la galaxie PornHub dont elle est aussi propriétaire. Ou comment avoir des revenus sur la vente via les studios et distributeurs, mais aussi le publicitaire sur les plateformes de streaming et les abonnements premium possibles dessus. Et donc fait sa loi.
Les studios plus indépendants ou distributeurs sont littéralement écrasés par ça tout en subissant le piratage.
Et comme c’est un tabou, tout le monde s’en fout.